鑽石舞台

本周收錄安全熱點54項，話題集中在惡意程序、網絡攻擊方面，涉及的組織有：微軟、沃爾瑪、亞馬遜、烏克蘭IT軍隊等。對此，360CERT建議使用360安全衛士進行病毒檢測、使用360安全分析響應平台進行威脅流量檢測，使用360城市級網絡安全監測服務QUAKE進行資產測繪，做好資產自查以及預防工作，以免遭受黑客攻擊。

安全研究人員發現，名為 AstraLocker 的勒索軟件的開發人員最近發布了其第二個主要版本，並且利用該勒索軟件進行了快速攻擊，直接從電子郵件附件中拋出其有效負載。帶有勒索軟件負載的 OLE 對象隱藏在 Microsoft Word 文檔中，這是 AstraLocker 2.0 開發人員使用的誘餌。WordDocumentDOC.exe 是嵌入式程序的文件名。用戶必須在打開文檔後顯示的警告窗口中選擇「運行」才能運行有效負載。攻擊者似乎並不關心偵察、分析有價值的文件或橫向網絡移動，而在執行一種被稱為「粉碎和抓取」的勒索軟件操作。儘管加密時間很短，AstraLocker 仍然設法執行某些基本的勒索軟件操作：它嘗試禁用安全軟件，禁用任何可能阻礙加密的活動程序，並避開虛擬計算機。

詳情

https://t.co/8UkUYd4ovg

微軟表示，最近在眾多行業的數百家公司的網絡中發現了一個Windows 蠕蟲病毒Raspberry Robin。Raspberry Robin於 2021 年 9 月首次被發現，通過受感染的 USB 設備傳播。Raspberry Robin 通過包含有害 .LNK 文件的受污染 USB 驅動器傳播到新的 Windows 框架。當 USB 小工具被加入並且用戶點擊鏈接時，蠕蟲會產生一個 msiexec 交互，利用 cmd.exe 發送一個存放在受污染驅動器上的有害文件。它感染新的 Windows 小工具，與它的命令和控制服務器 (C2) 對話，並利用一些真正的 Windows 實用程序執行有害的有效負載。

詳情

https://t.co/6ARkWwUc4W

XFiles信息竊取者惡意軟件添加了一個交付模塊，該模塊利用CVE-2022-30190（又名Follina）在目標計算機上丟棄有效負載。Cyberint的研究人員注意到在XFiles惡意軟件的活動使用Follina下載有效載荷，執行它，並在目標計算機上創建持久性。惡意文檔（最有可能通過垃圾郵件到達目標）包含一個 OLE 對象，該對象指向外部資源上的 HTML 文件，該文件包含利用 Follina 的 JavaScript 代碼。這會導致提取包含 PowerShell 命令的 base64 編碼字符串，以在 Windows 啟動目錄中創建持久性並執行惡意軟件。該集團今年早些時候推出的一個新項目被稱為「懲罰者礦工」，被宣傳為一個高度迴避和隱蔽的礦工，支持門羅幣，Toncoin和Ravecoin。

詳情

https://t.co/aEMy0Zd1Wf

新型信息竊取惡意軟件YTStealer以YouTube 內容創建者為目標，並試圖竊取他們的身份驗證令牌並劫持他們的頻道。包含惡意 YTStealer 安裝程序的模擬軟件示例包括 OBS Studio、Adobe Premiere Pro、FL Studio、Ableton Live、Antares Auto-Tune Pro 和 Filmora。YTStealer 惡意軟件在主機中執行之前會運行一些反沙盒檢查，為此使用開源Chacal工具。如果受感染的機器被視為有效目標，惡意軟件會仔細檢查瀏覽器 SQL 數據庫文件以定位 YouTube 身份驗證令牌。研究人員認為被盜的 YouTube 帳戶是在暗網上出售的，價格取決於頻道大小。這些帳戶的購買者通常使用這些被盜的身份驗證 cookie 來劫持 YouTube 頻道進行各種詐騙，通常是加密貨幣，或者要求實際所有者支付贖金。因此，建議 YouTube 創作者定期註銷其帳戶，以使之前可能已創建或被盜的所有身份驗證令牌無效。

詳情

https://t.co/Vsdpe7DNHo

2022年6月28日，Black Lotus Labs發現了一種名為ZuoRAT的新型遠程訪問木馬（RAT），它通過小型辦公室/家庭辦公室（SOHO）設備針對遠程工作人員。他們表示，這種高度針對性活動的複雜性以及攻擊者的策略，技術和程序（TTP）是國家支持的威脅行為者的標誌。該活動的開始大致與COVID-19大流行開始後快速轉向遠程工作大致一致，這大大增加了員工在家中訪問公司資產的SOHO路由器（包括華碩，思科，DrayTek和NETGEAR）的數量。一旦在身份驗證繞過漏洞利用腳本的幫助下部署在路由器上（未針對已知的安全漏洞進行修補），多階段ZuoRAT惡意軟件通過被動網絡嗅探為攻擊者提供了深入的網絡偵察功能和流量收集。ZuoRAT還允許橫向移動以破壞網絡上的其他設備，並使用DNS和HTTP劫持部署其他惡意有效載荷（例如Cobalt Strike信標）。

詳情

https://t.co/PiMfwdOwoV

Cleafy的研究人員發現一種名為 Revive 的新型Android 銀行惡意軟件，它模擬了登錄西班牙 BBVA 銀行賬戶所需的 2FA 應用程序。雖然 Revive 處於早期開發階段，但它已經具備攔截雙重身份驗證 (2FA) 代碼和一次性密碼等高級功能。Revive惡意軟件通過網絡釣魚攻擊以潛在受害者為目標，說服他們下載一個應用程序，該應用程序據稱是升級銀行賬戶安全所需的 2FA 工具。安裝後，Revive 請求使用輔助功能服務的權限，這基本上使它可以完全控制屏幕並能夠執行屏幕點擊和導航操作。之後，Revive 記錄用戶在設備上鍵入的所有內容，並定期將將憑據發送到威脅參與者的 C2，然後加載一個通用主頁，其中包含指向目標銀行真實網站的鏈接。根據 Cleafy 對新惡意軟件的代碼分析，其作者似乎受到了另一款Android 間諜軟件Teradroid 的啟發，兩者在 API、Web 框架和功能上有廣泛的相似之處。

詳情

https://t.co/F9rGyCSlxX

1. 在網絡邊界部署安全設備，如防火牆、IDS、郵件網關等

2. 做好資產收集整理工作，關閉不必要且有風險的外網端口和服務，及時發現外網問題

3. 及時對系統及各個服務組件進行版本升級和補丁更新

4. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

5. 各主機安裝EDR產品，及時檢測威脅

6. 注重內部員工安全培訓

7. 不輕信網絡消息，不瀏覽不良網站、不隨意打開郵件附件，不隨意運行可執行程序

8. 勒索中招後，應及時斷網，並第一時間聯繫安全部門或公司進行應急處理

2022年6月29日，最大的不可替代令牌（NFT）市場OpenSea披露了數據泄露事件，並警告用戶未來幾天可能會針對他們的網絡釣魚攻擊。在線NFT市場表示，它擁有超過60萬用戶，交易量超過200億美元。可用於針對 OpenSea 用戶的網絡釣魚攻擊的域示例包括 opensea.org、opensea.xyz 和 opeansae.io。該公司分享了安全建議：建議用戶對任何試圖冒充OpenSea的電子郵件持懷疑態度，不要下載和打開電子郵件附件，並檢查OpenSea電子郵件中鏈接的頁面的URL。還敦促用戶永遠不要分享或確認他們的密碼或秘密錢包短語，如果通過電子郵件直接提示，也不要簽署錢包交易。

詳情

https://t.co/9NuZFkVvMh

芯片製造巨頭Advanced Micro Devices（AMD）表示，它正在調查一個數字勒索組織聲稱數據是從該公司被盜的。在給The Record的一份聲明中，AMD表示，它「意識到一個不良行為者聲稱擁有AMD的被盜數據」。目前正在調查此事。2022年6月27日，贖金屋勒索組織將AMD添加到其受害者名單中，聲稱在一月份竊取了超過450 GB。RestorePrivacy是第一個報告贖金屋索賠的公司，檢查了被盜數據的樣本，並找到了AMD密碼，系統信息和其他網絡文件。勒索組織在網站上表示，這家價值數十億美元的芯片巨頭的員工使用弱密碼，有些人甚至對敏感帳戶使用「密碼」。

詳情

https://t.co/GegRlT5fHS

1. 及時備份數據並確保數據安全

2. 合理設置服務器端各種文件的訪問權限

3. 嚴格控制數據訪問權限

4. 及時檢查並刪除外泄敏感數據

5. 發生數據泄漏事件後，及時進行密碼更改等相關安全措施

6. 強烈建議數據庫等服務放置在外網無法訪問的位置，若必須放在公網，務必實施嚴格的訪問控制措施

2022年6月底，烏克蘭 IT 軍隊 OneFist 聲稱與 Anonymous Collective 一起合作入侵了俄羅斯聯邦的 LTE 路由器，成功破壞了俄羅斯 88 個政府和附屬網站的連接。俄羅斯的 LTE 路由器是一種 4G 路由器，可用於通過衛星連接插入互聯網。在黑客活動期間，連接到 LTE 路由器的每個設備或站點也將受到損害。

詳情

https://t.co/kDkA6ipe1Z

2022年6月29日，挪威國家安全局 (NSM) 指責親俄羅斯的黑客對該國的一些關鍵組織發起了多次分布式拒絕服務 (DDoS) 攻擊。在2022年6月28日，幾家大型挪威組織因攻擊而下線。NSM發言人表示：「幕後黑手似乎是一個犯罪的親俄羅斯組織。這些攻擊針對的是一些為民眾提供重要服務的大型挪威公司，」美聯社將這次襲擊與通過挪威領土過境與俄羅斯控制的北極煤礦定居點的爭端聯繫起來。挪威媒體稱，在挪威阻止俄羅斯補給船前往斯瓦爾巴群島的巴倫支堡定居點後，挪威駐俄羅斯大使於2022年6月29日被外交部召見，挪威控制該群島，但允許其他國家獲取自然資源。在挪威官員幫助推動北約接納芬蘭和瑞典成為成員國之後數小時，網絡攻擊也發生了。

詳情

https://t.co/5P1Adhe225

2022年6月27日，Yanluowang 勒索軟件運營商在其數據泄露網站上發布了一個條目，聲稱他們入侵了沃爾瑪並加密了 40,000 至 50,000 台設備。數據泄漏站點上的條目包括各種文件，這些文件聲稱包含在攻擊期間從沃爾瑪的 Windows 域中提取的信息。2022年6月29日，沃爾瑪發言人否認了此次勒索軟件襲擊，並稱他們的「信息安全團隊正在 24/7 全天候監控我們的系統」。雖然沃爾瑪否認攻擊成功，但這些文件包含聲稱來自沃爾瑪內部網絡的信息，包括安全證書、域用戶列表和kerberoasting 攻擊的輸出。攻擊者會使用 Kerberoasting 來提取 Windows 服務帳戶及其散列的 NTLM 密碼。這些散列密碼會被暴力破解以提取純文本密碼，最終這些密碼會被用於提升 Windows 域的權限。

詳情

https://t.co/E9EaBGEsHn

一個名為Sharp Boys的黑客組織聲稱，它周二從以色列旅遊網站獲取了數據，包括身份證號碼，地址，信用卡信息等。據黑客稱，受影響的網站是 hotels.co.il，isrotel.com，minihotel.co.il，tivago.co.il 和 danhotels.com。Sharp Boys聲稱已經獲得了對網站後端管理的控制權，並發布了一個電子表格，聲稱其中包含12萬人的個人信息。6月早些時候，該組織聲稱它已經入侵了一系列其他以色列旅遊網站，並從這些網站獲取了用戶的個人信息。Sharp Boys後來發布了一份電子表格，聲稱其中包含10萬人的信用卡信息和個人信息。

詳情

https://t.co/iv6xz1ILHO

自2022年初以來，ThreatLabz一直在密切關注Evilnum APT組織的活動，並確定了針對英國和歐洲地區發起的針對性攻擊活動，該活動使用了新的技戰術。在2021年觀察到的早期活動中，該組織使用的主要分發媒介是將惡意壓縮文檔中的Windows快捷方式文件（LNK）作為魚叉式網絡釣魚電子郵件的附件發送給受害者。在最近的例子中，威脅組織已經開始使用MS Office Word文檔，利用文檔模板注入將惡意有效載荷分發到受害者的計算機。

詳情

https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets

2022年6月28日，烏克蘭安全部門SSU的網絡專家已經發現並阻止了俄羅斯特種部隊入侵烏克蘭電視頻道電子系統的企圖。這些頻道參加了在烏克蘭憲法日（6月27日）舉行的國家電視馬拉松比賽。攻擊者試圖訪問實時視頻流、實時新聞提要和電視網絡員工個人電腦。由於 SSU 及時發現並採取了措施，現已防止此類未經授權的行為。然而，俄羅斯黑客組織可以重複這樣的嘗試。

詳情

https://t.co/jxm2oMbK4T

俄羅斯網絡安全公司卡巴斯基發現了針對亞洲不同國家未打補丁的 Microsoft Exchange 服務器的攻擊活動。根據該公司2022年6月27日發布的一份公告，一旦他們通過Microsoft Exchange 中的CVE-2021-26855 漏洞獲得初始訪問權限，攻擊者就會在巴基斯坦和阿富汗的電信公司以及物流和運輸組織的工業控制系統 (ICS) 上部署ShadowPad惡意軟件。在整個攻擊活動中，ShadowPad 後門以 mscoree.dll 文件的形式下載到受害計算機，而該文件又由名為 AppLaunch.exe 的合法可執行文件啟動。然後，攻擊者會在合法的 OLE-COM 對象查看應用程序 OleView 中使用 DLL 劫持來啟動 ShadowPad。一旦他們在系統中獲得了最初的立足點，攻擊者就會手動發送命令，然後自動發送。

詳情

https://t.co/x7DJhvIrYa

2022年6月28日，美國肯塔基州和阿肯色州政府表示，他們已對據稱於本周末發生的數據泄露事件展開調查，這兩個州的官員都認為這些「泄漏」信息是已公開數據。2022年6月25日，黑客組織SiegedSec在 Telegram 上聲稱，它正在泄露「從肯塔基州和阿肯色州政府服務器檢索到的內部文件和文件」。這些文件包括「大量員工 PII 等等」。其中包含一個據稱有 7-8 GB zip 文件，並在 Telegram 上共享了文件樣本。該組織表示，由於最近的墮胎禁令，它入侵了各州。黑客組織SiegedSec還表示，「攻擊將繼續！我們的主要目標是任何支持生命的實體，包括制定反墮胎法的州政府服務器。」

詳情

https://t.co/h7gZk0xfzX

一種新的網絡釣魚攻擊正在使用Facebook Messenger聊天機器人來冒充公司的支持團隊，並竊取用於管理Facebook頁面的憑據。聊天機器人是模擬實時支持人員的程序，通常用於在將客戶支持案例移交給實時員工之前提供簡單問題的答案或對客戶支持案例進行分類。在TrustWave發現的一項新活動中，威脅行為者使用聊天機器人竊取Facebook頁面經理的憑據，這些憑據通常被公司用於提供支持或推廣其服務。

詳情

https://t.co/2ncX76WK7x

烏克蘭CERT-UA收到了主題為「免費初級法律援助」的電子郵件，附件RAR壓縮文檔包含「Algorithm_LegalAid.xlsm」文件，該文件專門討論獲得法律援助的問題。如果打開文檔並激活宏，則將運行PowerShell命令以確保下載並運行.NET加載器。可執行文件將下載並運行DarkCrystal RAT惡意軟件。根據電子郵件收件人的地址以及DarkCrystal RAT管理域名，懷疑攻擊目標是烏克蘭電信運營商和提供商，並將活動歸因於UAC-0113。

詳情

https://cert.gov.ua/article/405538

2022年6月27日，一個俄羅斯黑客組織Killnet因對立陶宛幾家政府機構的大規模網絡攻擊而受到俄羅斯讚揚。立陶宛國防部長和國家網絡安全中心發表聲明稱，黑客使用分布式拒絕服務攻擊針對國家稅務監察局、移民局和許多其他國家實體之間的安全國家數據網絡。在服務恢復之前，這些機構被迫關閉了幾個小時。由於歐盟的制裁，立陶宛官員拒絕將鋼鐵、煤炭和其他金屬運往俄羅斯領土加里寧格勒。2022年6月25日過境禁令生效後，俄羅斯官員公開威脅立陶宛。KillNet 黑客組織隨後攻擊了立陶宛的機場網絡、在線會議系統、網絡基礎設施、幾家電信公司、中央國家檔案館和最高行政法院等政府網絡和公共/私人互聯網基礎設施。

詳情

https://t.co/5eZL8ORtYo

一群在Killnet旗幟下行動的俄羅斯附屬黑客襲擊了幾個立陶宛政府網站。根據該組織Telegram頻道發布的一段視頻消息，這些襲擊將是對該國今年早些時候軍事入侵烏克蘭後立陶宛對俄羅斯制裁的回應。該視頻要求立陶宛允許貨物過境到加里寧格勒，如果它想避免進一步破壞其政府機構和私營企業的互聯網基礎設施。Killnet攻擊的網站包括立陶宛國家稅務監察局（STI）和該國最大的會計服務提供商之一 B1.lt，這兩家公司仍處於離線狀態。最近，黑客組織Anonymous宣布對Killnet進行網絡戰爭，據報道，他們在五月份使他們的網站下線，並在六月份入侵俄羅斯部網站。

詳情

https://t.co/nDpnRWulqZ

Vice Society勒索軟件團伙聲稱對上周針對因斯布魯克醫科大學的網絡攻擊負責，該攻擊導致嚴重的IT服務中斷和涉嫌數據被盜。該研究型大學擁有3，400名學生和2，200名員工，並提供廣泛的醫療保健服務，包括手術。奧地利大學於2022年6月20日披露了IT中斷，限制了對在線服務器和計算機系統的訪問。6月26日，Vice Society將因斯布魯克醫科大學（Medical University of Innsbruck）添加到其數據泄露網站，泄露了上周網絡攻擊期間涉嫌被盜的大量文件清單。

詳情

https://t.co/ee9YNRIX7a

2022年6月27日，伊朗的一家主要鋼鐵公司表示，在受到網絡攻擊後被迫停止生產，該網絡攻擊也針對另外兩家工廠，這顯然標誌着最近記憶中對該國戰略工業部門的最大此類攻擊之一。伊朗政府沒有承認對國有胡齊斯坦鋼鐵公司和伊朗另外兩家主要鋼鐵生產商的襲擊事件，也沒有指責任何特定團體，這只是最近幾個月在該地區緊張局勢加劇的情況下襲擊該國服務的最新例子。匿名黑客組織Gonjeshke Darande聲稱對社交媒體上的攻擊負責，稱它針對的是伊朗最大的三家鋼鐵公司，以應對「伊斯蘭共和國的侵略」。並分享了胡齊斯坦鋼鐵公司工廠車間的閉路鏡頭，顯示鋼坯生產線上的一台重型機械出現故障並引起大規模火災。伊朗中部城鎮Mobarakeh的一家鋼鐵廠表示，其系統也遭到襲擊，而國營的伊朗報紙報道說，伊朗南部港口阿巴斯港的另一家工廠成為網絡攻擊的目標。兩家工廠均未承認因此造成的任何損壞或停工。

詳情

https://t.co/U7YTFa1eEg

1. 積極開展外網滲透測試工作，提前發現系統問題

2. 減少外網資源和不相關的業務，降低被攻擊的風險

3. 做好產品自動告警措施

4. 及時對系統及各個服務組件進行版本升級和補丁更新

5. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

6. 注重內部員工安全培訓

2022年6月29日，美國網絡安全和基礎設施安全局 (CISA) 已將一個稱為 PwnKit 的高嚴重性 Linux 漏洞添加到其在野外利用的漏洞列表中，標識為 CVE-2021-4034。PwnKit 是一個內存損壞漏洞，非特權用戶可以利用該漏洞在具有默認配置的 Linux 系統上獲得完全的 root 權限。研究人員還發現，它的起源可以追溯到 pkexec 的初始提交，這意味着它會影響所有 Polkit 版本。自 pkexec 於 2009 年 5 月首次發布以來，它也已經隱藏了 12 年多。美國網絡安全機構還給所有聯邦民事執行部門機構 (FCEB) 機構提供了三周時間，在7月18日前修補他們的 Linux 服務器以防止 PwnKit 並阻止利用嘗試。

詳情

https://t.co/hL1jW3IM8u

Mozilla宣布發布Thunderbird 102，將其強調為「嚴肅的升級」，帶來了社區已經要求了一段時間的新功能，例如刷新的GUI，查看選項，數據可移植性增強和性能升級。Thunderbird是世界上最受歡迎的免費和開源電子郵件客戶端之一，估計用戶群超過2500萬。Thunderbird 102中突出的新功能之一是新的地址簿和聯繫人布局，它為用戶提供了乾淨和現代化的「卡片式」聯繫人外觀。另一個重要的新功能是空間工具欄，它為用戶提供了在郵件，地址簿，日曆，任務和聊天之間快速切換的方法。可以調整工具欄以包含用戶最需要的項目。Mozilla這次解決了十個漏洞，其中四個被歸類為高影響漏洞，分別是：CVE-2022-34479、CVE-2022-34470、CVE-2022-34468、CVE-2022-34484。

詳情

https://t.co/lcATgoO8cm

亞馬遜已經確認並修復了其Android照片應用程序中的一個漏洞，該應用程序已在Google Play商店中下載了超過5000萬次。Amazon Photos 是一款圖像和視頻存儲應用程序，使用戶能夠與多達五個家庭成員無縫共享其快照，從而提供強大的管理和組織功能。Checkmarx的研究人員發現的漏洞原因是因為應用程序組件的錯誤配置，導致其清單文件無需身份驗證即可從外部訪問。利用此漏洞可能使安裝在同一設備上的惡意應用程序能夠搶奪用於 Amazon API 身份驗證的 Amazon 訪問令牌。這些 API 可能包含敏感的個人信息（如全名、電子郵件和實際地址），而其他 API（如 Amazon Drive API）則保存用戶文件。

詳情

https://t.co/IqwUwaGAXj

RARlab 的 UnRAR 實用程序中披露了一個新的安全漏洞，如果成功利用該漏洞，可能允許遠程攻擊者在依賴於二進制文件的系統上執行任意代碼。該漏洞的為 CVE-2022-30333，與 Unix 版本的 UnRAR 中的路徑遍歷漏洞有關，該漏洞可在提取惡意製作的 RAR 存檔時觸發。值得注意的是，任何利用未修補版本的UnRAR來提取不受信任的存檔的軟件都會受到該漏洞的影響。這還包括Zimbra協作套件，其中漏洞可能導致在易受攻擊的實例上預先進行身份驗證的遠程代碼執行，使攻擊者能夠完全訪問電子郵件服務器，甚至濫用它來訪問或覆蓋組織網絡中的其他內部資源。

詳情

https://t.co/Jpe7HVwA9j

中國網絡安全公司綠盟科技（NSFOCUS）在CoDeSys自動化軟件中發現了11個關鍵安全漏洞。根據安全專家的建議，這些漏洞可能被利用來未經授權訪問公司資源或進行拒絕服務（DoS）攻擊。綠盟科技表示，它首先在2021年9月至2022年1月期間向CoDeSys披露了這些漏洞。CoDeSys隨後在上周發布了一個補丁，在兩個單獨的公告中進行了描述。在綠盟科技發現的11個缺陷中，該公司發布的公告在嚴重程度方面將其中兩個評為嚴重，七個評為高，兩個評為中。這不是第一次在CoDeSys軟件中發現漏洞。十年前，在軟件中發現了一個後門，該後門向任何知道正確語法的人授予命令shell訪問權限。

詳情

https://t.co/OruoTW9U8F

1. 及時對系統及各個服務組件進行版本升級和補丁更新

2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程序，應及時更新到最新版本

近日，安恆信息獵影實驗室在威脅狩獵中捕獲一例以請願書為主題的釣魚郵件附件，該文件運行後將下載多階段DLL文件，最終進行文件竊取。此次活動針對南亞地區宗教信仰群體，符合Confucius的歷史攻擊目標，經分析，最後階段的File stealer也與Confucius攻擊樣本「血緣」更近，因此活動背後的攻擊者被判定為Confucius。

詳情

https://ti.dbappsecurity.com.cn/blog/articles/2022/06/30/confucius-apt-attack-south-asia/

如今，人們會謹慎點擊來自可疑來源的鏈接（例如電子郵件中的鏈接）。然而，當談到掃描二維碼時，人們的警惕性往往要低得多。2022年6月底，不知名的網絡犯罪分子分發了提供免費遊戲登錄的網絡釣魚二維碼，然後他們用這些二維碼劫持了 QQ 消息和社交媒體平台的一些帳戶。攻擊者傳播提供免費遊戲登錄的惡意二維碼。掃描此類二維碼後，用戶被要求使用其 QQ 帳戶進行身份驗證。一旦他們這樣做了，攻擊者就會竊取受害者的憑據，然後利用它們謀取私利。最後，這些用戶會被鎖定在他們的QQ帳戶之外。卡巴斯基的研究人員表示，尤其隨着近年來二維碼的普及，人們不應低估惡意二維碼的威脅。

詳情

https://t.co/eRS6e54guo

JPCERT不斷調查Lazarus組織的攻擊活動。最近，確認了該組織針對Linux操作系統的惡意軟件YamaBot。YamaBot是使用Go語言創建的惡意軟件，每個平台創建的惡意軟件的功能略有不同。除了YamaBot之外，Lazarus還使用了多個針對多平台的惡意軟件。本篇報告詳細地介紹了YamaBot。

詳情

https://blogs.jpcert.or.jp/ja/2022/06/yamabot.html

Bahamut是一個著名的APT組織，於2017年首次被發現，發起了各種網絡釣魚活動，並正在傳播針對中東和南亞的惡意軟件。該組織不斷改變其攻擊模式，在過去幾年中，越來越多地將重點轉移到移動設備上。經過大約一年的沉默，Bahamut Android惡意軟件的新變種於2022年4月被發現通過釣魚網站分發。釣魚網站偽裝成合法網站，用於提供下載虛假的加密通信軟件。

詳情

https://blog.cyble.com/2022/06/29/bahamut-android-malware-returns-with-new-spying-capabilities/

2022年6月30日，朝鮮黑客組織Lazarus Group被指控策劃了最近對區塊鏈公司 Harmony 進行的價值 1 億美元的黑客攻擊。2022年6月24日，價值 1 億美元的 Ether、Tether (USDT)、Wrapped Bitcoin (WBTC) 和 BNB 從 Harmony 被盜。被盜資金通過去中心化交易所 Uniswap 轉換為 85,837 ETH。自事件發生以來，黑客通過 Tornado Cash 洗錢了價值約 3900 萬美元的加密貨幣。Elliptic 研究人員表示，他們認為朝鮮是黑客的幕後黑手，因為他們一直對攻擊 Harmony 等跨鏈橋等 DeFi 服務感興趣。這起事件以及洗錢的方式，類似於朝鮮 Lazarus Group的運作方式。但研究人員還沒有具體證據表明朝鮮軍方與黑客行為有關。

詳情

https://t.co/Aj0C18gShn

2022年6月30日，烏克蘭網絡安全防禦和安全機構 SSSCIP表示，自2022 年 2 月 24 日戰爭開始以來，該國的網絡一直受到不斷的黑客攻擊，烏克蘭政府和私營部門組織已經遭受796次網絡攻擊。該國政府、地方當局和國防組織是戰爭頭幾個月中遭受攻擊最多的關鍵部門，總共遭受了 281 次襲擊。受網絡攻擊嚴重影響的行業還包括金融、電信、基礎設施和能源行業。烏克蘭網絡安全防禦機構檢測到的大多數攻擊都集中在信息收集（242 起事件）上，而其餘的則旨在破壞、關閉或用惡意軟件感染目標系統。

詳情

https://t.co/9pyqJDcxLX

近日，國家計算機病毒應急處理中心對美國家安全局（NSA）「酸狐狸」漏洞攻擊武器平台（FoxAcid）進行了技術分析。該漏洞攻擊武器平台是美國國家安全局（NSA）特定入侵行動辦公室（TAO，也被稱為「接入技術行動處」）對他國開展網絡間諜行動的重要陣地基礎設施，並成為計算機網絡入侵行動隊（CNE）的主力裝備。該漏洞攻擊武器平台曾被用於多起臭名昭著的網絡攻擊事件。近期，中國多家科研機構先後發現了一款名為「驗證器」（Validator）木馬的活動痕跡，該惡意程序據信是NSA「酸狐狸」漏洞攻擊武器平台默認使用的標配後門惡意程序。這種情況突出表明，上述單位曾經遭受過美國NSA「酸狐狸」漏洞攻擊武器平台的網絡攻擊。

詳情

https://www.cverc.org.cn/head/zhaiyao/news20220629-FoxAcid.htm

2022 年 5 月，婚禮策劃和登記網站 Zola 遭遇重大安全漏洞。黑客設法獲得了用戶賬戶的訪問權限，並試圖使用與被盜賬戶相關的資金下達禮品卡訂單。好在最終Zola的所有客戶都沒有因攻擊而蒙受損失。攻擊發生後，取證分析顯示，攻擊者沒有攻擊 Zola 的 IT 基礎設施，而是通過使用憑證填充獲得了訪問權限。憑據填充是一種技術，攻擊者通過該技術嘗試可能的用戶名和密碼組合，直到他們獲得對一個或多個帳戶的訪問權限。一些撞庫攻擊涉及將用戶名與容易猜到的弱密碼配對。然而更多時候，憑證填充通過利用在多個系統上使用相同密碼的用戶來工作。由於安全密碼往往難以記住，因此用戶可能會在多個網站上使用相同的密碼。如果用戶對多個站點使用相同的用戶名和密碼，那麼攻擊者最終將獲得對這些站點的訪問權限。防禦此類攻擊的最佳方法之一是採用 Specops 密碼策略。Specops 密碼策略不僅可以防止用戶使用弱密碼，還可以自動將用戶密碼與已知已泄露的憑據數據庫進行比較。

詳情

https://t.co/luEXL5Bnzk

2022年7月3日，以色列隱私保護局關停了託管多個旅行預訂網站的服務器，因為他們的運營商Gol Tours未能解決導致數據泄露的安全問題。此次泄漏的數據包含客戶的個人信息和信用卡數據，影響超過 300,000 個人。目前，以色列 Gol Tours LTD 管理的至少 10 個網站已被關閉。調查發現，此次攻擊行動背後的黑客是一個名為 Sharp Boys 的伊朗組織。而黑客組織 Sharp Boys在2022年6月11日就宣布了黑客攻擊，稱他們竊取了包含姓名、電話號碼、電子郵件地址、信用卡數據、護照號碼和客戶旅行歷史的數據庫。隱私保護機構沒收一家遭受網絡攻擊的公司的服務器，這類事件在以色列尚屬首次。

詳情

https://t.co/laeCWI8Bkz

卡巴斯基推出了一個新的信息中心，以推廣開源跟蹤軟件檢測工具TinyCheck。該工具於 2019 年創建，旨在幫助人們檢測他們的設備是否受到監控。各類跟蹤軟件利用現代移動操作系統的安全漏洞在後台秘密運行，而不會引起對受害者的懷疑。TinyCheck可以通過在外部設備 (Raspberry Pi) 上運行並通過 WiFi 監控其傳出流量，以非侵入性方式快速識別與跟蹤軟件相關的活動。該工具不需要安裝在設備上，不會干擾移動操作系統上的任何內容，因此也不會讓黑客發現。此外，由於 TinyCheck 不需要在設備本身上運行，它可以識別任何移動操作系統上的跟蹤軟件，包括 Android 和 iOS。

詳情

https://t.co/yytDPorZEy

在類似於監視生態系統的技術中，僱傭黑客組織讓他們的客戶能夠對企業組織、政治家、活動家、記者和其他高風險用戶發起有針對性的網絡攻擊。2022年6月底，谷歌的威脅分析組 (TAG) 透露，它阻止了俄羅斯、阿聯酋和印度的僱傭黑客組織使用的大約 36 個惡意域。黑客僱傭生態系統十分靈活，一方面是攻擊者如何自己部署攻擊，另一方面是代表客戶在大量目標中尋找。一些黑客組織會公開向任何願意付費的用戶推銷他們的產品和服務，然而，少部分黑客會以隱藏的方式運作並將他們的服務出售給有限的公眾。

詳情

https://t.co/hXLBGanKSS

Google Project Zero在2022年上半年共觀察到 18 個被利用的0day漏洞。而其中至少有一半的漏洞，都是因為之前的漏洞沒有得到妥善解決。根據 Google Project Zero研究員Maddie Stone的說法，如果組織應用更全面的修補程序，今年出現的9個0day漏洞都本可以避免。例如Windows 平台中的Follina漏洞（跟蹤為 CVE-2022-30190），它是MSHTML0day漏洞（跟蹤為 CVE-2021-40444）的變體。Maddie Stone還表示：「當在野外檢測到 0day 漏洞時，說明這就是攻擊者的失敗案例。同時，這也是我們安全維護者的一份禮物，讓我們儘可能多地學習並採取行動確保該向量不能被再次使用。」

詳情

https://t.co/TvCak1tNpe

2022年6月底，威脅情報公司 Imperva 發布了一份題為「量化 API 不安全成本」的報告，該報告檢查了近 117,000 起安全事件，並發現 API 不安全導致全球每年損失 41-750 億美元。大型企業面臨 API 相關漏洞的威脅更高，是中小型企業的三到四倍。亞洲的安全事件發生率很高，16% 到 20% 的網絡安全事件與 API 不安全有關。這可能是由於亞洲正在快速地進行數字化轉型，特別是在移動方面，因為亞洲的大多數數字交易都是通過移動完成的。企業常常無法保障其API安全，在過去一年中，95% 的企業都遭遇了 API 安全事件，34% 的企業承認他們缺乏API 安全方法。Imperva 建議組織通過監控其組織之外的端點來治理API。組織還應該監控流經他們的數據，以確保敏感信息受到保護。

詳情

https://t.co/D1PUK8d2fU

2022年6月下旬，一名前加拿大政府雇員在佛羅里達州法院認罪，指控其參與了 NetWalker 勒索軟件組織。34 歲的 Sebastien Vachon-Desjardins 被指控共謀進行計算機欺詐和電匯欺詐，以及故意損壞受保護的計算機並發送有關損壞受保護計算機的要求。在 2020 年 5 月至 2021 年 1 月期間，被告破壞了私人計算機網絡和系統，劫持了他們的數據，持有被盜數據以勒索贖金，並在未支付贖金的情況下分發被盜數據，從而使 17 個加拿大實體和世界各地的其他人受害。NetWalker 自 2019 年以來一直很活躍，該組織以勒索軟件即服務 ( RaaS ) 模型向黑客提供其惡意軟件。據統計，NetWalker 集團共竊取了 5058 比特幣的非法付款（交易時約為 4000 萬美元）。

詳情

https://t.co/fb2Er8woVS

2022年6月30日，美國聯邦調查局 (FBI)、網絡安全和基礎設施安全局 (CISA)、財政部和金融犯罪執法網絡 (FinCEN)發布了有關 MedusaLocker 勒索軟件的聯合網絡安全諮詢。美國政府在 2022 年 5 月觀察到，MedusaLocker 攻擊者主要依靠遠程桌面協議 (RDP) 中的漏洞來訪問受害者的網絡。MedusaLocker勒索團伙還經常使用電子郵件網絡釣魚和垃圾郵件活動，將勒索軟件直接附加到電子郵件中，並以此作為初始入侵媒介 。MedusaLocker 攻擊者對受害者的數據進行加密，並在每個包含加密文件的文件夾中留下帶有通信指令的勒索信。該說明指示受害者向特定的比特幣錢包地址提供勒索軟件付款。根據觀察到的贖金支付拆分，MedusaLocker 似乎作為勒索軟件即服務 (RaaS) 模型運行。

詳情

https://t.co/7HCnSYAlCb

蘇丹政府已經關閉了全國各地的互聯網，然後組織了大規模抗議活動，迫使軍方將權力交還給文職領導人。監控世界各地互聯網接入的幾個組織證實，6月30日早上互聯網受到嚴重限制。關閉對國家範圍的影響，涵蓋固定線路和蜂窩服務。雖然影響不是全部，但絕大多數用戶都被下線了，在這種情況下，通過使用VPN進行規避通常是不可能的。截至30日上午，全國範圍內的連通性是正常水平的17%。停電將限制活動人士和記者報道抗議活動的能力。參與組織抗議活動的團伙呼籲聯合國和其他人權組織介入並幫助保護該國對互聯網的訪問。

詳情

https://t.co/2DP6lCi2Gi

2022年6月30日，谷歌的威脅分析小組（TAG）披露，它已經採取行動阻止了來自印度，俄羅斯和阿聯酋的黑客僱傭組織運營的多達36個惡意域名。以類似於監控軟件生態系統的方式，黑客僱傭公司為其客戶提供針對企業以及活動家，記者，政治家和其他高風險用戶的攻擊的能力。Google TAG將印度黑客僱傭行為者歸咎於一家名為Rebsec的公司；將針對記者、歐洲政客和非營利組織的一系列類似的憑證盜竊攻擊歸咎於一個名為Void Balaur的俄羅斯組織；TAG還詳細介紹了一個位於阿聯酋的小組的活動，並與一個名為njRAT（又名H-Worm或Houdini）的遠程訪問木馬的原始開發人員有聯繫。

詳情

https://t.co/4KZCTWjxCf

美國聯邦通信委員會（FCC）的一名委員再次呼籲蘋果和谷歌從他們的應用商店啟動流行的視頻共享平台TikTok，理由是「其秘密數據實踐的模式」。TikTok在2021年9月披露，每月有10億人使用其應用程序，使其成為僅次於Facebook，YouTube，WhatsApp，Instagram和微信的最大社交媒體平台之一。總部位於北京的字節跳動（ByteDance）旗下的TikTok否認曾與中國政府共享用戶數據，在BuzzFeed News披露美國用戶數據在2021年9月至2022年1月期間被中國員工反覆訪問之後，它又回到了聚光燈下，儘管它做出了相反的保證。TikTok長期以來一直聲稱其美國用戶數據存儲在美國的服務器上，但這些陳述並沒有提供任何保護，防止從北京訪問數據。

詳情

https://t.co/F7pjiWBGoZ

來自 Abuse.ch 和ThreatFox的安全研究人員發布了一個用於掃描和搜索文件的防禦工具YARAify，旨在根據 YARA 規則的大型存儲庫掃描可疑文件。YARA 是一種用於模式匹配的開源工具，允許任何人編寫自己的規則來檢測問題，例如惡意或可疑文件。YARAify 可以使用公共 YARA 規則掃描文件，並整合由德國弗勞恩霍夫研究所運營的 Malpedia 的公共和非公共 YARA 規則。此外，研究人員可以使用該工具使用開放和商業 ClamAV 簽名掃描文件，設置搜索規則以匹配 YARA 規則和 ClamAV 簽名，並通過應用程序編程接口 (API) 將 YARAify 鏈接到其他工具。

詳情

https://t.co/JthZaqZ5cG

2022年6月29日，北約宣布計劃，承諾建立一支快速反應網絡部隊，並加強與民間社會和工業界的軍事夥伴關係，以應對網絡威脅。聲明中表示：「我們將通過加強軍民合作顯着加強我們的網絡防禦。」「我們還將擴大與行業的合作夥伴關係。盟國已決定，在自願的基礎上，利用國家資產，建立和行使虛擬快速響應網絡能力，以應對重大的惡意網絡活動。」該宣言增加了對網絡防禦支持的承諾，以維持烏克蘭關鍵基礎設施的彈性。聯盟防禦的「新基線」將依賴於宣言所稱的 360 度方法，「跨越陸地、空中、海上、網絡和太空領域，並應對所有威脅和挑戰。」

詳情

https://t.co/byFOlYuOX0

烏克蘭網絡警察部隊逮捕了一個犯罪集團的九名成員，該組織經營着400多個網絡釣魚網站，這些網站看起來像是合法的歐盟門戶網站，為烏克蘭人提供經濟援助。威脅行為者使用網站上的表單來竊取訪問者的支付卡數據和在線銀行帳戶憑據，並執行欺詐性的，未經授權的交易，例如將資金轉移到他們控制的帳戶。根據警方的估計，這種網絡犯罪行動造成的總損失是1億格里夫納，或約3，360，000美元，從大約5，000名受害公民那裡偷走。這種情況尤其嚴重，因為網絡釣魚運動針對的是迫切需要社會支付的烏克蘭同胞，以便在俄羅斯入侵以及失業和社會經濟穩定造成的困難時期支持他們。

詳情

https://t.co/eXowUPNsEL

網絡安全公司Cyble的一項分析發現，超過 900,000 個 Kubernetes (K8s) 暴露在互聯網上，因此容易受到惡意掃描和/或暴露數據的網絡攻擊。Kubernetes 是一個開源系統，旨在自動化容器化應用程序的部署、擴展和管理。研究人員表示，雖然並非所有暴露的實例都容易受到攻擊或敏感數據丟失，但這些錯誤配置做法可能會使公司成為未來威脅參與者 (TA) 的有利可圖的目標。Cyble 分析指出，美國的暴露數量最高，其次是中國和德國。網絡安全研究人員發現的許多配置錯誤的集群都是由於使用了默認設置。使用默認容器名稱、沒有使用安全密碼保護 Kubernetes 儀錶板以及將默認服務端口向公眾開放等錯誤配置可能會使企業面臨數據泄露的風險。為避免配置錯誤，Cyble 表示公司應將 Kubernetes 更新到最新版本，並從生產容器中刪除調試工具。

詳情

https://t.co/ueaGBR2pxz

在對執法人員和大多數消費者隱藏的暗網中，網絡犯罪分子買賣大量被盜數據和黑客工具。目前在暗網中流通的非法獲得的用戶名和密碼多達240 億個，其中最搶手的是新卡數據，這些數據被網絡犯罪分子大量購買以進行後續身份欺詐。網絡犯罪分子竊取信用卡詳細信息的5種方式為：網絡釣魚、惡意軟件、數字略讀、數據泄漏、公共 Wi-Fi。建議用戶切勿回復、點擊鏈接或打開未經請求的電子郵件中的附件，不要在公共 Wi-Fi 上使用互聯網，對所有敏感帳戶使用雙重身份驗證。

詳情

https://t.co/9869TjhqQ9

2022年6月27日，Lockbit勒索軟件集團宣布發布Lockbit 3.0，同時也宣布了其勒索軟件「漏洞賞金」計劃。2022年6月28日，Lockbit勒索軟件集團在他們的泄密網站上推出了一項新功能：允許對數據出售或銷毀進行投標。煽動騷擾受害者。

詳情

https://t.co/2MFGKqAK2y

美國國土安全調查局（HSI）和司法部沒收了六個播放和非法下載受版權保護的音樂的網站的域名。巴西也有266個屬於同一網絡的其他網站被撤下，在全國30次搜查和扣押突襲中，有六人被捕。6月27日，司法部在一份新聞稿中表示。「根據法庭文件，執法部門將這六個領域確定為未經版權所有者授權用於分發受版權保護的材料」。在美國緝獲的六個域名（Corourbanos.com，Corourbano.com，Pautamp3.com，SIMP3.com，flowactivo.co 和 Mp3Teca.ws）已在美國處注，並在與巴西當局聯合調查後被刪除，稱為「404.4行動」。這些網站在社交媒體上做廣告，以吸引願意下載和流式傳輸他們提供的非法音樂內容的用戶。巴西當局還要求並刪除了15個用於促銷目的的社交網絡配置文件。

詳情

https://t.co/M0TQsofhEw

Black Basta勒索軟件即服務（RaaS）集團在野外出現的兩個月內在美國，加拿大，英國，澳大利亞和新西蘭積累了近50名受害者，使其成為短時間內的突出威脅。Cybereason在一份報告中表示：「Black Basta已被觀察到針對一系列行業，包括製造業，建築業，運輸業，電信公司，製藥，化妝品，管道和供暖，汽車經銷商，內衣製造商等。」此外，Black Basta背後的參與者已經開發了一種Linux變體，旨在打擊在企業服務器上運行的VMware ESXi虛擬機（VM），使其與LockBit，Hive和Cheerscrypt等其他組相提並論。

詳情

https://t.co/d4AEo92dBs

若想了解更多信息或有相關業務需求，可移步至http://360.net

360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平台(quake.360.cn)，通過資產測繪技術的方式，對該漏洞進行監測。可聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。

360安全大腦的安全分析響應平台通過網絡流量檢測、多傳感器數據融合關聯分析手段，對網絡攻擊進行實時檢測和阻斷，請用戶聯繫相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。

針對以上安全事件，360cert建議廣大用戶使用360安全衛士定期對設備進行安全檢測，以做好資產自查以及防護工作。

2022-07-04 360CERT發布安全事件周報

一直以來，360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務，現360CERT推出了安全通告特製版報告訂閱服務，以便用戶做資料留存、傳閱研究與查詢驗證。

今後特製報告將不再提供公開下載，用戶可掃描下方二維碼進行服務訂閱。